Thrip APT集团瞄准国防和卫星公司 与中国有关的APT攻击

  • A+
所属分类:网络安全新闻

中国的APT组织总是非常活跃,赛门铁克的专家们跟踪了一个名为Thrip的新APT组织 ,该组织已经违反了美国和东南亚卫星运营商,电信公司和国防承包商的系统。

Thrip APT集团瞄准国防和卫星公司 与中国有关的APT攻击

Thrip集团自2013年以来一直活跃,但这是赛门铁克首次公开分享其活动的详细信息。

“自2013年以来,我们一直在监控Thrip,当时我们发现了一个由中国系统组织的间谍活动。自从我们最初的发现以来,该组织改变了策略并扩大了其使用的工具范围。最初,它主要依靠自定义恶意软件,但在2017年开始的最近一轮攻击中,该组织已切换为混合自定义恶意软件并以土地工具为生。“阅读赛门铁克公布的分析报告。

Thrip APT

Thrip APT在其攻击中使用了定制恶意软件和合法工具的组合,受害者名单很长,并且包括一个卫星通信运营商。

黑客瞄准了涉及操作的设备以及运行监视和控制卫星的软件的受感染计算机,这种情况表明攻击者也可能对破坏行为感兴趣。

该小组的另一个受害者是一家专门从事地理空间成像和测绘的公司。

“[Thrip]定位运行MapXtreme GIS(地理信息系统)软件的计算机,该软件用于开发自定义地理空间应用程序或将基于位置的数据集成到其他应用程序等任务中。它还针对运行Google Earth Server和Garmin映像软件的机器。“继续分析。

“卫星运营商并非Thrip唯一感兴趣的通信目标,该集团还针对三个不同的电信运营商,全部位于东南亚。”

该集团还针对东南亚的三家电信公司和一家国防承包商。

该组织的兵工厂包括数据窃取程序Trojan.Rikamanu及其进化Infostealer.Catchamas,它们实现更复杂的数据传输功能和回避功能。

APT小组还使用了Trojan.Mycicil,一款可在中国地下市场上销售的键盘记录器,以及Backdoor.Spedear和Trojan.Syndicasec恶意软件。

Thrip APT还提供许多合法工具,包括Windows SysInternals实用程序PSExec,PowerShell,Mimikatz和LogMeIn远程访问软件。

Symantec发布的分析报告了更多详细信息,包括IoC。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: